Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens gedeeld worden met derde partijen” en denk ik, wat is dan het verschil?
Steeds meer apparaten vergaren informatie over hun eigenaren en sturen dat naar de fabrikant. Van slimme televisies die luisteren naar wat er wordt gezegd tot beeldbewerking op afstand. Maar ook heel simpel een website die je bezoekt, verzamelt van alles over je. Commercieel heel waardevolle informatie voor derden, met name voor adverteerders. Want weten wat iemands interesses zijn, maakt het mogelijk gericht te adverteren.
Dit is op zich Ouder dan het Internet(tm): ook daarvoor al werd er driftig gehandeld in databestanden zodat je wist waar je een direct mailing het beste heen kon sturen. Verkoopcijfers van huizen, interesse in dure meubels en ga zo maar door. Verkoop van klantenbestanden en -informatie werd privacytechnisch dan ook al snel een punt van zorg.
Dit zie je op veel websites en diensten dan ook terug in de privacyverklaring: Wij verkopen uw gegevens niet aan derden. En voor zover ik weet houdt iedereen zich daar ook netjes aan. En dat is maar goed ook, want bestandenhandel is sinds de Wet bescherming persoonsgegevens eigenlijk altijd verboden – en onder de AVG of GDPR van volgend jaar helemáál.
Erg is dat niet, want er is een veel slimmer alternatief. In plaats van bestanden met waardevolle persoonsgegevens aan derden te verkopen, verhuur je een reclameplekje voor die derden op een generiek omschreven (dus niet persoonsgebonden) plekje op je site. Facebook zal mij nooit data verkopen waarin staat welke gebruikers advocaat zijn, IT-savvy en druk bezig zich in te lezen over die AVG die eraan komt. Maar ik kan wel gericht reclame tonen voor mijn boek over de AVG op precies het segment advocaat, IT-savvy en vond-ik-leukte-AVG-artikelen.
Effectief is dat hetzelfde, maar verkopen is het niet. Ik denk dus dat dat ongeveer is wat men met dat “delen maar niet verkopen” bedoelde. En het is dus legaal denk ik, omdat je geen persoonsgegevens verkoopt maar alleen geaggregeerde data. Hoe je dat wettelijk zou verbieden, weet ik niet. Dat kan dan beter bij de bron aangepakt worden: je mag zulke gegevens niet verzámelen zonder aparte toestemming, en dergelijke toestemming mag niet verbonden worden aan de koop van een ‘slim’ apparaat.
Arnoud